Помогите разобраться с SSL

0

1

Ситуация: приобрели wildcard SSL certificate у RapidSSL. Для того, чтобы реализовать TLS в pure-ftpd, нужно создать один PEM-файл, содержащий приватный ключ, собственно сертификат, intermediate и root certs. Так вот, эти две последних штуки прислала сама техподдержка RapidSSL. Создаю PEM:

cat cert.key cert.crt rapidbundle.txt > cert.pem

И он не проходит верификацию с ошибкой:

error 20 at 0 depth lookup:unable to get local issuer certificate

Гугль находит много всего, но никакой конкретики я найти не осилил. Хелп чтоли :)

Ссылка

←	freebsd memory usage

wi-fi точка доступа на Debian GNU/Linux

→

Я при работе с SSL руководствовался этим. http://www.howtoforge.com/forums/showthread.php?t=41883

Там есть и секция про создание pem для pure-ftpd.

staseg ★★★★★
(26.07.12 11:29:37 MSK)

Ответ на: комментарий от staseg 26.07.12 11:29:37 MSK

сделал, но ошибка точно та же остается. причем даже если абстрагироваться от pure-ftpd, команда openssl verify cert.pem говорит то же самое:

error 20 at 0 depth lookup:unable to get local issuer certificate

Кто такой local issuer?

Komintern ★★★★★
(26.07.12 11:43:01 MSK) автор топика

Ссылка

Так, ситуация немного прояснилась. Если указывать CAFile, то верификация проходится, но с ошибками:

error 29 at 0 depth lookup:subject issuer mismatch

Я так понял это в сапорт надо RapidSSL.

Komintern ★★★★★
(26.07.12 18:10:57 MSK) автор топика

Ссылка

error 20 at 0 depth lookup:unable to get local issuer certificate

Кто выдаёт эту ошибку? клиент? сервер?

cat cert.key cert.crt rapidbundle.txt > cert.pem

Ты проверил что все сертификаты в формате pem? Они могут быть и DER или вообще какой-нибудь pkcs*

openssl x509 -in <file > -noout -text

должно вывести информацию

router ★★★★★
(27.07.12 11:07:24 MSK)

Ответ на: комментарий от router 27.07.12 11:07:24 MSK

все выводит. и chain создался и видится фтп-сервером, все серты в нем видятся.
но фтп-клиент при подключении выдает ахтунг:
http://fotohost.jampo.com.ua/images/5a1d62d9125ac2a11e939abd3337808d.png
http://fotohost.jampo.com.ua/images/ec2559d70a27b8fdd4bd38d159cb1d01.png
http://fotohost.jampo.com.ua/images/af25a33560cabeaa45430a75042c6a7b.png

Komintern ★★★★★
(27.07.12 11:12:55 MSK) автор топика

Ответ на: комментарий от Komintern 27.07.12 11:12:55 MSK

Выглядит всё нормально. Может ftp клиент по какой-то причине не доверяет GeoTrust Global CA ?

Кстати, удалил бы фотки с реальным именем

router ★★★★★
(27.07.12 11:33:02 MSK)

Ответ на: комментарий от router 27.07.12 11:33:02 MSK

последую совету, удалю пост. хотя с другой стороны это информация вроде как не секретная. любой подключившийся по фтп человек может себе таких же скринов наделать.
а насчет фтп-клиента, то и gftp ему не доверяет. я даже не знаю куда уже копать.

Komintern ★★★★★
(27.07.12 11:38:21 MSK) автор топика
Последнее исправление: Komintern 27.07.12 11:40:50 MSK (всего исправлений: 1)

Ответ на: комментарий от Komintern 27.07.12 11:38:21 MSK

короче победил проблему. цепочка должна быть из 4 сертов:
свой (с ключем) -> rapidssl intermediate -> geotrust root CA -> Equifax root CA.

закрываю тему.

Komintern ★★★★★
(27.07.12 15:59:35 MSK) автор топика

14 декабря 2012 г.

Ответ на: комментарий от Komintern 27.07.12 15:59:35 MSK

Стоп, а где такую инфу найти можно? Сейчас боьюсь с такой-же ошибкой и сертификатом от thawte ;< нифига не помогает

dedsy ★★
(14.12.12 18:04:08 MSK)

Ответ на: комментарий от dedsy 14.12.12 18:04:08 MSK

я это выяснил в переписке с сапортом rapidssl.

Komintern ★★★★★
(14.12.12 19:13:32 MSK) автор топика

Ответ на: комментарий от Komintern 14.12.12 19:13:32 MSK

Спасибо .. понял направление ^_^

dedsy ★★
(14.12.12 23:09:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	freebsd memory usage

Admin

wi-fi точка доступа на Debian GNU/Linux

→

Похожие темы